Magento的关键缺陷使数百万电子商务网站面临风险
相关标签:
由于eBay旗下最受欢迎的电子商务平台Magento存在多个关键的跨站点脚本(XSS)漏洞,数百万在线商户面临劫持攻击的风险。
为什么虫子这么严重?
几乎所有版本的Magento Community Edition 1.9.2.2及更低版本,以及Enterprise Edition 1.14.2.2及更低版本都容易受到存储跨站点脚本(XSS)缺陷。
存储的XSS漏洞非常可怕,因为它们允许攻击者:
- 有效地接管了一家基于Magento的在线商店
- 升级用户权限
- 虹吸客户数据
- 窃取信用卡信息
- 通过管理员帐户控制网站
然而,好消息是,这些漏洞已被修补,在安全公司Sucuri发现并私下向该公司报告该漏洞后,更新已向公众提供。
利用这个漏洞是多么容易啊
XSS漏洞很容易被利用。攻击者只需在客户注册表单中嵌入恶意JavaScript代码来代替电子邮件地址。
然后,Magento在管理员帐户的上下文中运行并执行此包含JavaScript代码的电子邮件,使攻击者能够窃取管理员会话并完全接管运行Magento的服务器。
网络安全公司Sucuri将该漏洞描述为最严重的漏洞,并表示:
“错误代码段位于Magento核心库中,更具体地说是在管理员的后端。除非您在WAF后面,或者您的管理面板经过了大量修改,否则您将面临风险。”
“由于这是一个存储的XSS漏洞,攻击者可以利用此问题接管您的网站、创建新的管理员帐户、窃取客户端信息,以及合法管理员帐户可以执行的任何操作。”
现在就给你的软件打补丁!
为了防止网站被利用,建议网站管理员尽快应用最新的补丁包SUPEE-7405。
由于最新补丁解决了Magento版本1.14.1和1.9.1及更早版本的问题,影响Magento版本1.14.2.3和1.9.2.3的问题已经解决。
Alexa排名前100万的电子商务网站和超过1000万个使用互联网第四流行CMS的网站,Magento如今已成为攻击者的重要目标。
所以,现在就给你的网站打补丁,确保安全!
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
